Notre besoin de sécurité justifie de renoncer à notre besoin de vie privée. De consentir à être observés, écoutés. Jusqu’où ? En matière de surveillance électronique et d’interceptions des communications, où fixer la limite ? Depuis longtemps, un principe général s’applique, au moins dans le domaine des enquêtes judiciaires. Les magistrats autorisent des écoutes ou des captations de données uniquement si un lien existe entre un acte, forcément répréhensible, et des téléphones ou des adresses IP.
Sur un plan pratique, dans la plupart des démocraties, impossible d’ordonner des interceptions à la tête du client. Elles doivent être motivées et proportionnelles. Le secret des communications demeure un droit fondamental, reconnu par la Convention européenne des droits de l’homme, dans son article 8. Précieux, à une époque où chaque smartphone reçoit et classe au quotidien des centaines de données. Concentrés de nos vies familiales, professionnelles et intimes.
Détecter à titre préventif
Néanmoins, ces flux s’échangent aussi entre criminels. De vastes volumes circulent entre eux. Tant de messages et d’images transitent dans les data centers. Copiés et stockés pour un mois ou cinq ans. À portée de clics, d’algorithmes. Dès lors, ne serait-il pas tentant d’adapter les règles ? D’installer çà et là de vastes filets, à titre préventif, sûr qu’un acte condamnable pourrait être détecté parmi les milliers de données en orbite. Si le monde change, pourquoi ne pas changer.
Après deux ans et demi d’enquête sur le dossier judiciaire de la messagerie Sky ECC, une impression se dégage. L’opération de police contre l’application chiffrée inaugure cette nouvelle ère. Sans débats. Guidée par la force des évolutions de la tech. Le souci de l’efficacité policière.
Le cas Sky ECC
Résultat ? Des tonnes de coke saisies, des centaines de criminels derrière les barreaux, un milliard de messages enregistrés. Cette opération Sky ECC représente à ce jour un titre de gloire pour la Police française. De juin 2019 à mars 2021, pendant près de dix-huit mois, à la demande de la Belgique et des Pays-Bas et avec l'aide d'Europol, et les encouragements des États-Unis, elle a capté les communications d’environ 170 000 personnes, abonnées de cette application créée par une start-up de Vancouver, Sky Global.
L’entreprise de soixante-dix personnes, gérée par une famille d’origine cambodgienne, commercialisait cette app réputée la plus sûre. À sa tête, Jean-François Eap, né en 1985, un entrepreneur de la tech plutôt sensible à l'idéologie libertarienne. Pour activer sa technologie, il suffisait de souscrire un abonnement en ligne et de retirer chez un distributeur une carte SIM dédiée. Dans le monde entier, un tissu de petites échoppes de téléphonie assurait la diffusion de ces cartes, pour 200 € par mois, tous frais d'itinérance inclus, au besoin payables en liquide.
L’architecture technique de Sky Global reposait, quant à elle, sur des accords de sous-traitance avec d’importants prestataires de la tech. L’Américain AT&T pour la fourniture des cartes SIM. Le Canadien Blackberry pour la sécurité des transports des messages. Et le Français OVH Cloud, champion européen de l’hébergement des données. Les communications cryptées entre les clients de Sky ECC stationnaient ainsi, tôt ou tard, dans un data center de Roubaix, près de Lille, propriété d’OVH Cloud.
Narcos et tueurs à gages
Or, la clientèle rassemblait, notamment, des milliers de narcotrafiquants, de tueurs à gages, des mafieux de premier rang et des voyous de seconde zone, convaincus - à tort - que sur Sky ECC ils ne seraient jamais espionnés. Constat de policiers aux Pays-Bas et en Belgique, premiers à s’émouvoir. Lors de perquisitions dans des affaires de cocaïne, ils trouvaient souvent des iPhone et des Android équipés de Sky ECC, surtout près du port d’Anvers - dont les limites, au nord, suivent la frontière néerlandaise. Par le biais d’Europol, des juges des Pays-Bas et de Belgique ont alors prié leurs homologues français de se brancher directement dans le data center de Roubaix, d’organiser une captation généralisée de tous les clients. Approuvée en juin 2019 et fonctionnelle jusqu’en mars 2021.
Aux frontières de la légalité
Mais dès le début, cette opération, a priori pour une bonne cause, se déroulait aux frontières de la légalité. Car les autorités françaises ne disposaient d’informations que sur une petite fraction des utilisateurs. D’incontestables criminels. Pour les autres, il a fallu extrapoler. Compte tenu des caractéristiques de l’app, tous les abonnés, par défaut, seraient des suspects, donc des cibles légitimes à surveiller.
C’est sur cette base que nous avons réuni, avec StudioFact Media Group, un consortium de reporters d’investigation et de réalisateurs. Au Canada (avec les chaînes CBC et Radio Canada), en France (Télérama), en Belgique (Le Soir), aux Pays-Bas (le quotidien NRC), en Allemagne (la ZDF et le site Paper Trail Media) et en Serbie (le site Krik) des confrères ont travaillé ensemble sur les différents dossiers Sky ECC. Des dizaines de milliers de pièces confidentielles venues des différents pays ont ainsi été agrégées, comparées. À partir de l’été 2023, ce réseau informel a confronté ses découvertes en lien avec la messagerie ; que ce soit sur des mafias serbes (à Belgrade), sur de spectaculaires cargaisons de cocaïne (dans le port d’Hambourg), sur les techniques de déchiffrement employées (à Bruxelles), sur le curieux du rôle du FBI (à Los Angeles), qui a admis que pareille interception aurait violé plusieurs lois américaines si elle s’était déroulée aux États-Unis, ou sur le fonctionnement de la société Sky Global (à Vancouver), que le ministère de la Justice canadien refuse de poursuivre, les éléments fournis par les Européens étant à ses yeux insuffisants pour démontrer la culpabilité de la start-up (mais les lois locales, très favorables au secteur du chiffrement, ont par ailleurs provoqué sur place une véritable affaire d'État).
L’ensemble décrit un dossier hors normes, avec son lot d’infiltrations, d’agents doubles, d’intox, de prouesses technologiques et de résultats spectaculaires. Mais elle incarne également les hésitations d’une époque. Rivée sur smartphone. Partageant tout. Inquiète pour sa sécurité. Soucieuse de vie privée. Paradoxale, sûrement.
Résultats d'un consortium
Un documentaire de 90’ (coproduit par Canal +, la RTBF et la ZDF) raconte cette histoire, de ce point de vue là. Celui-ci se retrouve également au centre d'une mini série documentaire de la ZDF, tandis que nos confrères de CBC se sont eux concentrés sur les liens historiques entre les milieux criminels de la côte ouest canadienne et ces messageries cryptées.
Les trajectoires les plus folles des personnages se retrouvent également dans une série de podcasts de Paper Trail Meda, à Munich. Alors qu’à Bruxelles, les journalistes du quotidien Le Soir se sont, eux, intéressés aux arguments des autorités belges pour obtenir une captation généralisée, mettant en lumière d’étonnantes pratiques. En France, Télérama a suivi cette même piste à l'échelle française. À Belgrade enfin, les journalistes d’investigation du site Krik ont démontré l’ambiguïté avec laquelle les autorités ont géré la captation de masse effectuée chez OVH Cloud. Si des messages ont permis d’instruire des procès contre une organisation criminelle serbe, d’autres, révélant l’existence de liens entre le parti au pouvoir et une mafia implantée dans les Balkans, n’ont, eux, pas connu de développements judiciaires. Paradoxal, encore une fois.